Aracılığıyla paylaş

Öğretici: Microsoft Intune ile yönetilmeyen iOS cihazlarda Exchange Online e-postasını koruma

  • Makale

Bu öğreticide, Yönetilmeyen bir iOS cihazı veya Microsoft 365 e-postasına erişmek için Outlook mobil uygulaması dışında bir uygulama kullanan kullanıcıların Exchange Online'a erişimini engellemek için Microsoft Entra Koşullu Erişim ile Microsoft Intune uygulama koruma ilkelerinin nasıl kullanılacağı gösterilmektedir. Bu ilkelerin sonuçları, iOS cihazları Intune gibi bir cihaz yönetimi çözümüne kaydedilmediğinde geçerlidir.

Bu öğreticide şunları nasıl yapacağınızı öğreneceksiniz:

  • Outlook uygulaması için bir Intune uygulama koruma ilkesi oluşturun. Farklı Kaydet'i engelleyerek ve kesme, kopyalama ve yapıştırma eylemlerini kısıtlayarak kullanıcının uygulama verileriyle yapabileceklerini sınırlayacaksınız .
  • Exchange Online'da yalnızca Outlook uygulamasının şirket e-postasına erişmesine izin veren Microsoft Entra Koşullu Erişim ilkeleri oluşturun. Ayrıca, iOS ve Android için Outlook gibi Modern kimlik doğrulama istemcileri için çok faktörlü kimlik doğrulaması (MFA) gerekir.

Önkoşullar

Bu öğretici için üretim dışı deneme aboneliklerini kullanmanızı öneririz.

Deneme abonelikleri, bu öğretici sırasında üretim ortamını yanlış yapılandırmalarla etkilemekten kaçınmanıza yardımcı olur. Denemeler, intune'un yapılandırılması ve yönetilmesi için yalnızca deneme aboneliğini oluştururken oluşturduğunuz hesabı kullanmamıza olanak sağlar çünkü bu öğreticideki her görevi tamamlama izinleri vardır. Bu hesabın kullanılması, öğreticinin bir parçası olarak yönetim hesapları oluşturma ve yönetme gereksinimini ortadan kaldırır.

Bu öğretici, aşağıdaki aboneliklere sahip bir test kiracısı gerektirir:

Intune'da oturum açma

Bu öğreticide, Microsoft Intune yönetim merkezinde oturum açtığınızda, Intune deneme aboneliğine kaydolduğunuz sırada oluşturulan hesapla oturum açın. Bu öğretici boyunca yönetim merkezinde oturum açmak için bu hesabı kullanmaya devam edin.

Uygulama koruma ilkesini oluşturma

Bu öğreticide, korumaları uygulama düzeyine yerleştirmek üzere Outlook uygulaması için iOS için bir Intune uygulama koruma ilkesi ayarladık. Uygulamayı iş bağlamında açmak için bir PIN gerekir. Ayrıca uygulamalar arasında veri paylaşımını sınırlayacağız ve şirket verilerinin kişisel bir konuma kaydedilmesini önleyeceğiz.

  1. Microsoft Intune yönetim merkezinde oturum açın.

  2. Uygulamalar>Uygulama koruma ilkeleri>İlke oluştur'u ve ardından iOS/iPadOS'u seçin.

  3. Temel Bilgiler sayfasında aşağıdaki ayarları yapılandırın:

    • Ad: Outlook uygulama ilkesi testini girin.
    • Açıklama: Outlook uygulama ilkesi testini girin.

    Platform değeri önceki adımda iOS/iPadOS seçilerek ayarlanmıştı.

    Devam etmek için İleri'yi seçin.

  4. Uygulamalar sayfasında, bu ilkenin yönettiği uygulamaları seçersiniz. Bu öğretici için yalnızca Microsoft Outlook'u ekleyeceğiz:

    1. Hedef ilkesi'ninSeçili uygulamalar olarak ayarlandığından emin olun.

    2. Hedef uygulama seçin bölmesini açmak için + Genel uygulamalarıseçin'i seçin. Ardından, Uygulamalar listesinden Microsoft Outlook'u seçerek Seçili Uygulamalar listesine ekleyin. Bir uygulamayı Paket Kimliğine veya ada göre arayabilirsiniz. Uygulama seçimini kaydetmek için Seç'i seçin.

      Bu ilke için Microsoft Outlook'u bulun ve genel uygulama olarak ekleyin.

      Hedef uygulama seçin bölmesi kapatılarak Microsoft Outlook artık Uygulamalar sayfasındaki Genel uygulamalar altında görünür.

      Bu ilkenin Genel uygulamalar listesine eklemek için Outlook'u seçin.

    Devam etmek için İleri'yi seçin.

  5. Veri koruma sayfasında, kullanıcıların bu uygulama koruma ilkesi tarafından korunan uygulamaları kullanırken verilerle nasıl etkileşim kurabileceğini belirleyen ayarları yapılandırabilirsiniz. Aşağıdaki seçenekleri yapılandırın:

    Veri Aktarımı kategorisi için aşağıdaki ayarları yapılandırın ve diğer tüm ayarları varsayılan değerlerinde bırakın:

    • Kuruluş verilerini diğer uygulamalara gönderme - Açılan listeden Yok'a tıklayın.
    • Diğer uygulamalardan veri alma - Açılan listeden Yok'a tıklayın.
    • Diğer uygulamalar arasında kesme, kopyalama ve yapıştırma işlemlerini kısıtla- Açılan listeden Engellendi'yi seçin.

    Outlook uygulama koruma ilkesi verileri yeniden konumlandırma ayarlarını seçin.

    Devam etmek için İleri'yi seçin.

  6. Erişim gereksinimleri sayfası, kullanıcıların korumalı uygulamalara bir iş bağlamında erişebilmeleri için karşılamaları gereken PIN ve kimlik bilgisi gereksinimlerini yapılandırmanıza olanak sağlayan ayarlar sağlar. Diğer tüm ayarları varsayılan değerlerinde bırakarak aşağıdaki ayarları yapılandırın:

    • Erişim için PIN içinGerekli'yi seçin.
    • Erişim için iş veya okul hesabı kimlik bilgileri içinGerekli'yi seçin.

    Outlook uygulama koruma ilkesi erişim eylemlerini seçin.

    Devam etmek için İleri'yi seçin.

  7. Koşullu başlatma sayfasında, bu uygulama koruma ilkesi için oturum açma güvenlik gereksinimlerini yapılandıracaksınız. Bu öğretici için bu ayarları yapılandırmanız gerekmez.

    Devam etmek için İleri'yi seçin.

  8. Atamalar sayfası, uygulama koruma ilkesini kullanıcı gruplarına atadığınız yerdir. Bu öğreticide, bu ilkeyi bir gruba atamıyoruz.

    Devam etmek için İleri'yi seçin.

  9. Sonraki: Gözden geçir + oluştur sayfasında, bu uygulama koruma ilkesi için girdiğiniz değerleri ve ayarları gözden geçirin. Intune'da uygulama koruma ilkesi oluşturmak için Oluştur'u seçin.

Outlook için uygulama koruma ilkesi oluşturulur. Ardından, cihazların Outlook uygulamasını kullanmasını gerektirecek şekilde Koşullu Erişim'i ayarlayacaksınız.

Koşullu Erişim ilkeleri oluşturma

Ardından, tüm cihaz platformlarını kapsayan iki Koşullu Erişim ilkesi oluşturmak için Microsoft Intune yönetim merkezini kullanın. Kuruluşunuzun e-posta ve kaynaklarına bağlanabilen cihazları ve uygulamaları denetlemeye yardımcı olmak için Koşullu Erişimi Intune ile tümleştirirsiniz.

  • İlk ilke, Modern Kimlik Doğrulama istemcilerinin onaylı Outlook uygulamasını ve çok faktörlü kimlik doğrulamasını (MFA) kullanmasını gerektirir. Modern Kimlik Doğrulama istemcileri iOS için Outlook ve Android için Outlook'u içerir.

  • İkinci ilke, Exchange ActiveSync istemcilerinin onaylı Outlook uygulamasını kullanmasını gerektirir. (Şu anda, Exchange Active Sync cihaz platformu dışındaki koşulları desteklememektedir). Koşullu Erişim ilkelerini Microsoft Entra yönetim merkezinde yapılandırabilir veya Microsoft Entra'dan Koşullu Erişim kullanıcı arabirimini sunan Microsoft Intune yönetim merkezini kullanabilirsiniz. Zaten yönetim merkezinde olduğumuz için ilkeyi burada oluşturabiliriz.

Microsoft Intune yönetim merkezinde Koşullu Erişim ilkelerini yapılandırdığınızda, bu ilkeleri Azure portalının Koşullu Erişim dikey pencerelerinde yapılandırmış olacaksınız. Bu nedenle, kullanıcı arabirimi, Intune için diğer ilkeler için kullandığınız arabirimden biraz farklıdır.

Modern Kimlik Doğrulama istemcileri için çok faktörlü kimlik doğrulama ilkesi oluşturma

  1. Microsoft Intune yönetim merkezinde oturum açın.

  2. Uç nokta güvenliği>Koşullu erişim>Yeni ilke oluştur'u seçin.

  3. Ad alanına Modern kimlik doğrulama istemcileri için test ilkesi girin.

  4. Atamalar'ın altında Kullanıcılar için seçili 0 kullanıcı ve grup seçin. Ekle sekmesinde Tüm kullanıcılar'ı seçin. Kullanıcılar için değer Tüm kullanıcılara güncelleştirilir.

    Koşullu erişim ilkesinin yapılandırmasını başlatın.

  5. Atamalar'ın altında Hedef kaynaklar için Hedef kaynak seçilmedi'yi seçin. Bu ilkenin ne için geçerli olduğunu seçin seçeneğininBulut uygulamaları olarak ayarlandığından emin olun. Microsoft 365 Exchange Online e-postasını korumak istediğimizden aşağıdaki adımları izleyerek bu e-postayı seçin:

    1. Ekle sekmesinde Uygulama seç'i seçin.
    2. Seç için Yok'a tıklayarak Bulut uygulamaları Seç bölmesini açın.
    3. Uygulama listesinden Office 365 Exchange Online onay kutusunu ve ardından Seç'i seçin.
    4. Yeni ilke bölmesine dönmek için Bitti'yi seçin.

    Office 365 Exchange Online uygulamasını seçin.

  6. Atamalar'ın altında, Koşullar için 0 koşul seçildi'yi seçin ve ardından Cihaz platformları için Yapılandırılmadı'yı seçerek Cihaz platformları bölmesini açın:

    1. Yapılandır iki durumlu düğmesini Evet olarak ayarlayın.
    2. Ekle sekmesinde Cihaz platformlarını seçin'i seçin ve ardından Android ve iOS için onay kutularını seçin.
    3. Cihaz platformları yapılandırmasını kaydetmek için Bitti'yi seçin.

  7. Koşullar bölmesinde kalın ve İstemci uygulamaları bölmesini açmak için İstemci uygulamaları için yapılandırılmadı'yı seçin:

    1. Yapılandır iki durumlu düğmesini Evet olarak ayarlayın.
    2. Mobil uygulamalar ve masaüstü istemcileri için onay kutularını seçin.
    3. Diğer onay kutularını temizleyin.
    4. Yeni ilke bölmesine dönmek için Bitti'yi seçin.

    Koşul olarak Mobil uygulamalar ve istemciler'i seçin.

  8. Erişim denetimleri'nin altında, Ver için seçili 0 koşulu seçin ve ardından:

    1. Ver bölmesinde Erişim izni ver'i seçin.
    2. Çok faktörlü kimlik doğrulaması gerektir'i seçin.
    3. Onaylanan istemci uygulamasını gerektir'i seçin.
    4. Birden çok denetim içinTüm seçili denetimleri gerektir olarak ayarlayın. Bu ayar, bir cihaz e-postaya erişmeye çalıştığında seçtiğiniz her iki gereksinimin de uygulanmasını sağlar.
    5. Yapılandırmayı ver'i kaydetmek için Seç'i seçin.

    İzin Ver'i yapılandırmak için erişim denetimleri'ni seçin.

  9. İlkeyi etkinleştir'in altında Açık'ı ve ardından Oluştur'u seçin.

    İlkeyi etkinleştirmek için İlkeyi etkinleştir kaydırıcısını Açık olarak ayarlayın.

Modern Kimlik Doğrulama istemcileri için Koşullu Erişim ilkesi oluşturulur. Artık Exchange Active Sync istemcileri için bir ilke oluşturabilirsiniz.

Exchange Active Sync istemcileri için ilke oluşturma

Bu ilkeyi yapılandırma işlemi önceki Koşullu Erişim ilkesine benzer:

  1. Microsoft Intune yönetim merkezinde oturum açın.

  2. Uç nokta güvenliği>Koşullu Erişim>Yeni ilke oluştur'u seçin.

  3. Ad alanına EAS istemcileri için test ilkesi girin.

  4. Atamalar'ın altında Kullanıcılar için 0 kullanıcı ve grup seçin. Ekle sekmesinde Tüm kullanıcılar'ı seçin.

  5. Atamalar'ın altında Hedef kaynaklar için Hedef kaynak seçilmedi'yi seçin. Bu ilkenin ne için geçerli olduğunu seçin ayarınınCloud apps olarak ayarlandığından emin olun ve ardından microsoft 365 Exchange Online e-postasını şu adımlarla yapılandırın:

    1. Ekle sekmesinde Uygulama seç'i seçin.
    2. Seç için Yok'u seçin.
    3. Bulut uygulamaları listesinden Office 365 Exchange Online onay kutusunu ve ardından Seç'i seçin.

  6. Atamalar'ın altında Koşullar>Cihaz platformları'nı açın ve ardından:

    1. Yapılandır iki durumlu düğmesini Evet olarak ayarlayın.
    2. Ekle sekmesinde Herhangi bir cihaz'ı ve ardından Bitti'yi seçin.

  7. Koşullar bölmesinde kalın, İstemci uygulamaları'nı genişletin ve ardından:

    1. Yapılandır iki durumlu düğmesini Evet olarak ayarlayın.
    2. Mobil uygulamalar ve masaüstü istemcileri'ne tıklayın.
    3. Exchange ActiveSync istemcileri'ne tıklayın.
    4. Diğer tüm onay kutularını temizleyin.
    5. Bitti'yi seçin.

    Koşullar kategorisi için istemci uygulamalarını yapılandırın.

  8. Erişim denetimleri'nin altında Ver'i genişletin ve sonra:

    1. Ver bölmesinde Erişim izni ver'i seçin.
    2. Onaylanan istemci uygulamasını gerektir'i seçin. Diğer tüm onay kutularını temizleyin, ancak Birden çok denetim için yapılandırmasını Tüm seçili denetimleri gerektir olarak ayarlayın.
    3. Seç'i seçin.

    Grant kategorisi için Onaylı istemci uygulaması gerektir'i yapılandırın.

  9. İlkeyi etkinleştir'in altında Açık'ı ve ardından Oluştur'u seçin.

Uygulama koruma ilkeleriniz ve Koşullu Erişim artık hazır ve teste hazır.

Deneyin

Bu öğreticide oluşturduğunuz ilkelerle, cihazın Microsoft 365 e-postasına erişmek için kullanılabilmesi için cihazların Intune'a kaydolması ve Outlook mobil uygulamasını kullanması gerekir. Bu senaryonun iOS cihazında test etmek için, test kiracınızdaki bir kullanıcının kimlik bilgilerini kullanarak Exchange Online'da oturum açmayı deneyin.

  1. iPhone'da test etmek için Ayarlar>Parolalar & Hesaplar> Hesap >DeğişimiEkle'yegidin.

  2. Test kiracınızdaki bir kullanıcının e-posta adresini girin ve İleri'ye basın.

  3. Oturum Aç'a basın.

  4. Test kullanıcısının parolasını girin ve Oturum aç'a basın.

  5. Daha fazla bilgi gerekiyor iletisi görüntülenir; bu da MFA'yı ayarlamanız istendiği anlamına gelir. Devam edin ve başka bir doğrulama yöntemi ayarlayın.

  6. Ardından, bu kaynağı BT departmanınız tarafından onaylanmamış bir uygulamayla açmaya çalıştığınızı belirten bir ileti görürsünüz. İleti, yerel posta uygulamasını kullanmanızın engellendiği anlamına gelir. Oturum açmayı iptal edin.

  7. Outlook uygulamasını açın ve Ayarlar>Hesap> EkleE-posta Hesabı Ekle'yi seçin.

  8. Test kiracınızdaki bir kullanıcının e-posta adresini girin ve İleri'ye basın.

  9. Office 365 ile oturum aç'a basın. Sizden başka bir kimlik doğrulaması ve kayıt istenir. Oturum açtıktan sonra kesme, kopyalama, yapıştırma ve Farklı Kaydet gibi eylemleri test edebilirsiniz.

Kaynakları temizleme

Test ilkeleri artık gerekli olmadığında, bunları kaldırabilirsiniz.

  1. Microsoft Intune yönetim merkezinde oturum açın.

  2. Cihazlar>Uyumluluğu'na tıklayın.

  3. İlke adı listesinde, test ilkeniz için bağlam menüsünü (...) ve ardından Sil'i seçin. Onaylamak için Tamam'ı seçin.

  4. Uç nokta güvenliği>Koşullu erişim> İlkeleri'ne gidin.

  5. İlke Adı listesinde, test ilkelerinizin her biri için bağlam menüsünü (...) ve ardından Sil'i seçin. Onaylamak için Evet'i seçin.

Sonraki adımlar

Bu öğreticide, kullanıcının Outlook uygulamasıyla yapabileceklerini sınırlamak için uygulama koruma ilkeleri oluşturdunuz ve Koşullu Erişim ilkelerini Outlook uygulamasını gerektirecek ve Modern Kimlik Doğrulaması istemcileri için MFA gerektirecek şekilde oluşturdunuz. Diğer uygulamaları ve hizmetleri korumak için Koşullu Erişim ile Intune kullanma hakkında daha fazla bilgi edinmek için bkz. Koşullu Erişim ve Intune hakkında bilgi edinin.